Το Trash Panda Ransomware εμφανίζει ασυνήθιστη σημείωση λύτρων

Κατά τη διάρκεια της συνήθους εξέτασης των πρόσφατων υποβολών αρχείων, η ερευνητική μας ομάδα έπεσε πάνω στην παραλλαγή του ransomware Trash Panda. Το συγκεκριμένο κακόβουλο λογισμικό ανακαλύφθηκε ως μέρος των συνεχών προσπαθειών μας για τη διερεύνηση των αναδυόμενων απειλών.

Κατά την εκτέλεση ενός δείγματος Trash Panda στο ελεγχόμενο περιβάλλον δοκιμής μας, το πρόγραμμα ξεκίνησε αμέσως τη ρουτίνα κρυπτογράφησης δεδομένων του. Ως αποτέλεσμα, τα ονόματα αρχείων υπέστησαν αλλαγές με την προσθήκη μιας επέκτασης ".monochrome". Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" μετατράπηκε γρήγορα σε "1.jpg.monochrome", ενώ το "2.png" έγινε "2.png.monochrome" και ούτω καθεξής. Μόλις αυτή η διαδικασία κρυπτογράφησης έφτασε στο τέλος της, δημιουργήθηκε μια συνοδευτική σημείωση λύτρων με την ένδειξη "[random_string]-readme.html".

Το σημείωμα λύτρων που χρησιμοποιεί το Trash Panda μεταφέρει το οδυνηρό μήνυμα ότι τα αρχεία του θύματος έχουν κρυπτογραφηθεί με ασφάλεια. Το σημείωμα συνεχίζει να υποστηρίζει την προσέγγιση των κακόβουλων παραγόντων πίσω από την επίθεση, προκειμένου να ξεκινήσει η διαδικασία ανάκτησης για τα παραβιασμένα δεδομένα. Περιλαμβάνεται μια κρίσιμη προειδοποίηση, υπογραμμίζοντας ότι η αποτυχία επαφής με τους εγκληματίες του κυβερνοχώρου πριν το ρολόι της αντίστροφης μέτρησης φτάσει στο μηδέν θα έχει ως αποτέλεσμα τη μόνιμη διαγραφή του κλειδιού αποκρυπτογράφησης, καθιστώντας ουσιαστικά μάταιες οποιεσδήποτε προσπάθειες αποκατάστασης δεδομένων.

Το σημείωμα Trash Panda Ransom παραπέμπει σε στρατιωτική σύγκρουση

Το πλήρες κείμενο του ransomware Trash Panda χρησιμοποιεί leet-speak, αντικαθιστώντας τα γράμματα με αριθμούς και αναφέρεται σε κάποιο είδος ένοπλης σύγκρουσης χωρίς να αναφέρει κάτι συγκεκριμένο. Το σημείωμα έχει ως εξής:

Το Team Trash Panda ήταν εδώ

Όλα τα αρχεία σας έχουν απορριφθεί από το δικό μας

7r45H P4ND4 Asomeware

Ας φτιάξουμε μια D341. Ελευθερώνεις τους ανθρώπους μας. Ελευθερώνουμε τα δεδομένα σας.

Μην προσπαθήσετε να ανακτήσετε κανένα αρχείο. Όλα τα αρχεία μεταφέρθηκαν στον κάδο απορριμμάτων χρησιμοποιώντας ένα πολύ προηγμένο πρότυπο κρυπτογράφησης που δημιουργήθηκε από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST). Μπορείτε να ελέγξετε τον παρακάτω σύνδεσμο για να μάθετε πώς μεταφέρθηκαν τα αρχεία σας στον κάδο απορριμμάτων. hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Δεν μας ενδιαφέρουν τα δεδομένα σας. Δεν μας νοιάζουν τα λεφτά. Θέλουμε να επιστρέψει η οικογένειά μας κοντά μας και ΕΣΥ ΦΥΓΕΙΣ ΑΠΟ ΤΗΝ ΠΑΤΡΙΔΑ ΜΑΣ.

Ω, BTW, έχεις περιορισμένο χρόνο για να πάρεις αποφάσεις. Θα διαγράψουμε το κύριο κλειδί μετά τη λήξη του ρολογιού αντίστροφης μέτρησης. Βιασύνη ~ Βιασύνη ~

ΤΟ ΚΛΕΙΔΙ ΣΑΣ ΘΑ ΔΙΑΓΡΑΦΕΙ ΜΕΤΑ
(χρονόμετρο αντίστροφης μέτρησης)

Μπορείτε να επικοινωνήσετε μαζί μας στο -

Εάν θέλετε να επιστρέψετε τα αρχεία σας, βάλτε το ακόλουθο κλειδί στη φόρμα εισαγωγής. Θα επικοινωνήσουμε μαζί σας αργότερα

Πώς διανέμεται στο Διαδίκτυο το Ransomware Like Trash Panda;

Η διανομή ransomware όπως το Trash Panda περιλαμβάνει συνήθως μια ποικιλία τακτικών και τεχνικών που έχουν σχεδιαστεί για να εκμεταλλεύονται τρωτά σημεία, συμπεριφορές χρηστών και τεχνολογικές αδυναμίες. Αν και δεν έχω συγκεκριμένες πληροφορίες σχετικά με τις μεθόδους διανομής του "Trash Panda", δεδομένου ότι η αποκοπή των γνώσεών μου είναι τον Σεπτέμβριο του 2021, μπορώ να σας δώσω γενικές πληροφορίες σχετικά με τον τρόπο με τον οποίο διανέμεται συνήθως το ransomware:

• Email ηλεκτρονικού ψαρέματος: Οι εγκληματίες του κυβερνοχώρου συχνά στέλνουν πειστικά μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από νόμιμες πηγές, που περιέχουν κακόβουλα συνημμένα ή συνδέσμους. Όταν οι χρήστες αλληλεπιδρούν με αυτά τα συνημμένα ή συνδέσμους, το ωφέλιμο φορτίο ransomware κατεβάζεται και εκτελείται στο σύστημά τους.
• Κακόβουλη διαφήμιση: Κακόβουλες διαφημίσεις σε ιστότοπους ή δίκτυα διαφημίσεων μπορούν να οδηγήσουν τους χρήστες σε ιστότοπους που φιλοξενούν ransomware. Η απλή επίσκεψη σε έναν παραβιασμένο ιστότοπο μπορεί να προκαλέσει τη λήψη του ransomware στον υπολογιστή του θύματος.
• Λήψεις Drive-By: Οι εγκληματίες του κυβερνοχώρου μπορούν να εκμεταλλευτούν τρωτά σημεία σε λογισμικό, πρόσθετα ή στοιχεία προγράμματος περιήγησης για να παραδώσουν ransomware στο σύστημα ενός χρήστη χωρίς καμία αλληλεπίδραση με τον χρήστη. Αυτό είναι γνωστό ως download-by drive.
• Προγράμματα εγκατάστασης λογισμικού σε κίνδυνο: Οι εισβολείς μπορούν να διεισδύσουν σε νόμιμους εγκαταστάτες λογισμικού, προσθέτοντας το ωφέλιμο φορτίο ransomware. Όταν οι χρήστες κάνουν λήψη και εγκατάσταση του λογισμικού από παραβιασμένες πηγές, εγκαθίσταται και το ransomware.
• Επιθέσεις Remote Desktop Protocol (RDP): Οι εισβολείς μπορούν να στοχεύσουν συστήματα με αδύναμες ή μη προστατευμένες συνδέσεις RDP. Αποκτούν πρόσβαση και εγκαθιστούν χειροκίνητα ransomware ή χρησιμοποιούν αυτοματοποιημένα εργαλεία για να παραδώσουν το ωφέλιμο φορτίο ransomware.
• Κακόβουλες μακροεντολές: Κακόβουλες μακροεντολές που είναι ενσωματωμένες σε έγγραφα του Microsoft Office μπορούν να χρησιμοποιηθούν για τη λήψη και την εκτέλεση ransomware όταν οι χρήστες ενεργοποιούν τις μακροεντολές σε αυτά τα έγγραφα.